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Herren: Karsten Meyer-Grafe, Thorsten Behr, Wolfram KreB 
^^^chaltungsanordnung zur gesicheiten Datenubeitragung in ringformigen Bussystemen 
Zusammenfassung 

Die vorliegende Schaltungsanordnung erlaubt es, an ringformigen Standardbussystemen 
Daten zu ubertragen, die ftir den Aufbau fehlertoleranter Strukturen notwendig sind. Zur 
Realisiorung benotigt man dne Obowachungseinheit imd dezentrale Ein- und 
Ausgabeeinheiten, die Daten zur Regelung oder Steuerung senden oder entgegennehmen. 
Die Schaltungsanordnung ubemimmt die Aufgabe, eventuelle Fehler zu erkennen, die fur den 
ProzeB innerhalb einer Maschine oder Anlage zur Gefahr werden kdnnen. Durch den intemen 
Aufbau identifiziert die Schaltungsanordnung bereits vor der Fehleroffenbarung zuin ProzeB 
einen eventuellen Fehler und leitet eine gesicherte Abschaltung ein. Dabei ist es gleichgultig, 
ob die exteme Steuerung oder das verwendete Bussystem fiir den Fehler verantwortlich ist. 
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Im Maschinen- und Anlagenbau werden heute nicht selten Bewegungen und Vorgange 
gesteuert oder geregelt, die im Fehlerfall oder bei Versagen eine Gefahr fiir das Leben und die 
Gesundheit von Personen darstellen. Neben diesen Gefahren gilt es aber auch wertvolle 
Maschinenteile zu schiitzen, die bei mdglichen Fehlfunktionen hoiie finanzielle Schaden 
verursachen konnen. 

Eventuell auftretende Fehler mussen daher durch den Prozefi erkannt werden, und die 
Maschine soUte in einen Zustand gefuhrt werden, der als gefahrlos anzusehen ist. In der Kegel 
sind hierfur redundante Strukturen notwendig, die unabMngig von der eigentlichen Steuerung 
oder Regelung die Sicherheitsfunktionen uberwachen. Im Maschinen- oder Anlagenbau ist 
zur Fehlererkennung in der Kegel eine Feststellung eines Einfach-Fehlers hinreichend. Nach 
Erkennen dieses Fehlers kann dann der Prozefi abgebrochen werden und in einem sicheren 
Zustand verweilen. Bin eventueller Schaden durch die fehlerhafte FortfUhrung des Prozesses 
ist damit unterbunden. 

Die Verfahren zur Fehlererkennung und deren notwendige MaBnahmen sind in den 
intemationalen Normen (DIN V VDE 0801 und DIN ISO 61508) festgehahen. Durch die 
idlagen dieser Normen haben die Hersteller von Automatisieningseinrichtungen in den 
Itzten Jahren unterschiedliche Strate^en entwickeU, die sichere Ubertragungen an 
ussystemen erlauben (Profibus mit F-Profil, PNO und Safety-Bus P, Fa. Pilz und Sick). 
Zusatzlich wird es in Kurze Steuerungen auf dem Markt geben, die bereits intern redundante 
Strukturen aufweisen und so im Zusammenspiel mit den genannten sicheren Bussystemen 
eine Fehlererkennung zulassen (z.B.: Fa. Siemens S 7 400 F oder Pilz PSS 3000-Serie). 
Diese Verfahren lassen sich jedoch nur bei voUstandig neuer Installation der notwendigen 
Komponenten einsetzen und schutzen nur mangelhaft gegen systematische Fehler. Die hier 
vorgestellte Schaltungsanordnung macht es sich mehr zur Aufgabe, Fehler in einem 
Prozefi zu erkennen, der lediglich mit Standardeinheiten aufgebaut ist. Daruber hinaus werden 
nicht nur eventuelle Fehler beim Datentransport uber ein verwendetes Bussystem, sondern 
auch St6rungen oder Programmierfehler in der Steuerungseinrichtung erkannt und eliminiert. 
Die Schaltungsanordnung stellt damit eine Realisierung eines Verfahrens vor, das bereits 
unter dem Patent Nr. 198 57 683.8 angemeldet wurde. Das Verfehren eignet sich fiir alle 
ringfermigen Bussysteme, wobei die beschriebene Technik optimal auf den Interbus (Phoenix 
Contact) abgestimmt ist. IBer wurde bereits Anfang 1999 ein Anforderungsprofil erarbeitet 
und veroflFentlicht (Zeitschrift lEE, April 1999, Karsten Meyer-Grafe: Interbus goes Safety). 
^ je Fig. 1 zeigt den notwendigen Aufbau fiir ein derartiges System. Die SteuCTung (1) 
emimmt im Prozefi alle Stoierungs- und Kegelfunktionen. Sie erkennt auch mogliche 
ehler und kann Prozesse unterbrechen oder in einen isicheren Zustand fiihren. Im Falle eines 
eigenen Versagens oder bei fehlerhaftem Datentransport ist sie jedoch nicht in der Lage, den 
gewunschten sicheren Zustand herbeizufiihren. Dieser Ausfall ist auch dann gegeben, w«m in 
dein Steuenmgssystem bo-eits eine wei^ehende Trennung von Prozefisteuerung und 
Sicherheitskontrolle vorliegt. Da es auch hier keine Kedundanz gibt, wird ein unerkannter 
Fehler mdglicherweise schwerwiegende Folgen haben. Entsprechend der Erfindung werden 
weitere Komponenten hinzugefugt, die einen mdglichen Fehler erkennen und eliminieren. 
Diese Einheiten sind: Eine ObCTwachungseinheit (4) und eine oder mehrere dezentrale 
Einheiten im Prozefi (9), die nur dort notwendig sind, wo Daten mit Sicherheitsbezug 
empfangen oder gesendet v/adea. 

Die Steuerung (1) beinhaltet ein Daten-Abbild-Register (2), das alle Ausgangsdaten und 
weitere Kontrollsignale iiber die Datenleitung (13) zu den peripheren Einheiten (4,7,8,9,12) 
sendet. Da der Bustransport Shnlich yne ein Schieberegister fiinktioniert, senden alle 
peripheren Einheiten uber die Ruckleitung (14) im gleichen Buszyklus ihre Eingangsdaten zur 
Steuerung, die im Daten-Abbild-Register (3) zur Verfiigung stehen. In einem folgenden SPS- 



Zyklus verarbeitet die Si^S nun die Daien aus ihren beiJen Abbuo-Registem und erzeugt so 
den notwendigen Zustand fur den ProzeB. Ohne die Einheiten (4) und (9) ist sie jedoch nicht 
in der Lage, einen Programmierfehler, einen Zustand durch Storung oder Ausfall oder einen 
Datenfehler durch falschen Bustransport zu regeln. Die tlberwachungseinheit (4) beinhaltet 
daher einen eigenen Mikroprozessor, der die gesendeten Daten der SPS uberwacht und nur 
die sicherheitsrelevante GroBen auf Sinnfalligkeit untersucht. So ist die tlberwachungseinheit 
(4) mit der Transfer-Einheit (5) in der Lage, die SPS zu iiberwachen, Sie kann aber noch 
zusatzlich uber die im Rucklauf installierte Transfer-Einheit (6) auch die Daten der Eingange 
der dezentralen Einheiten lesen. Da die sicherheitsrelevante Einheit (9) ihre 
Ausgangsinformation (D3) auch direkt an die Eingangseinheit (C3) weitergibt, gelingt so eine 
du-ekte Kontrolle, ob der Bustransfer ordnungsgemaB funktioniert hat. 
Ferrier ist die Ubenvachungseinheit mit ihrer Transfer-Einheit (5) auch in der Lage, die Daten 
fur die sicherheitsrelevante dezentrale Einheit (9) zu manipulieren. Sie kann insbesondere 
Daten der SPS uberschreiben und so eine Zustimmung zur Datenausgabe von (9) unterbinden. 
Die dezentrale Einheit wird nur dann aktiv, v^enn sie uber die KontroU-Einheit (11) eine 
Zustimmung fur die Daten der Ausgabe-Einheit (10) erhalten hat. 

4|^p|^as Timing mit dem Datentransport ist in der folgenden Tabelle gezeigt: 
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Das Timing-Diagramm zeigt den Zustand nach jeder Schiebe-Information im Ring (Beispiel: 
Interbus). Die Information ACS ist von der Cfberwachungseinheit (4) mit der Transfer-Einheit 
(5) manipulierbar imd kann uberschrieben werden. Somit erhalt die dezentrale Einheit (9) in 
I ihrer Kontroll-Logik (1 1) eine Zusatz-Infonnation, die eine fehlerhafte Ausgabe unterbindet. 

•ie aus dem Timing-Diagramm ebenfalls ersichtlich ist, kann die tlberwachungseinheit (9) 
ch die Daten der Ausgabe von (9) lesen (EC3). Diese Daten stellen die direkte Ausgabe- 
formation der Einheit (9) dar, so daB ein Busfehler sicher erkannt wird. 
Der imeme Aufbau der sicherheitsrelevanten dezentralen Einheit (9) ist in Fig. 2 dargestellt. 
Sie (1) besteht aus zwei Busbausteinen (2,3), so daB Eingangsinformationen redundant vom 
ProzeB gehoU werden kdnnen (4,5). Zusatzlich wird die Ausgabeinformation (Dn) von (2) 
uber den Eingangsteil der anderen Einheit (3) abgebildet. Ein mSglicher Fehler bei der 
intemen Ablage oder beim Bustransport wird damit im Folge-Zyklus des Bustransports 
CTkannt. Die Ausgabeinformation von Dn wird von der Steuerung (SPS) in den 
Zwischenspeicher (7) geschrieben. Die Kontroll-Logik (6) oitscheidet aber zus&tzlich 
dariiber, ob die Information des Zwischenspeichers (7) uber die Ausgabe-Logik (8) an der 
Peripherie erscheint. Sie (6) kann entweder die gespeicherte Information freigeben (uber die 
Leitwig 10) Oder den Zustand Idschen (uber die Leitung 1 1), so daB der Ausgang (9) den 
ProzeB in einen sicheren Zustand bringt. 

Die Schahungsanordnung funktioniert dah^ im Prinap genauso, wie ein normales 
dezentrales SPS-System. Die Komponenten erlauben es lediglich zusatzlich, Eingfinge 
redundant zu iiberwachen und gespeicherte Ausgabeinformationen vor der Ausgabe auf 
SinnMigkeit zu untersuchen. Femer kann die tlberwachungseinheit auch Fehler erkennen. 



die nicht nur durch Ausfall oder Storung zustande gekommeii sind, sondern einen 
Programmier- oder Parametrierfehler als Ursache hatten. 



Patentanspriiche 

1 . Schaltungsanordnung zur gesicherten Datenubertragung in ringfbrmigen Bussy stemen, 
dadurch gekcnnzeichnet, daB eine Uberwachungseinheit (Fig. 1,4) die von der Steuerung 
(1) ausgesendeten Daten uber eine Transfer-Einheit (5) kontrolliert und auf mogliche 
Fehler untersucht und im Fehlerfall die Freigabe-Daten fiir eine sicherheitsrelevante 
dezentrale Einheit (9) unterdriickt oder l6scht, so dafi ein mSglicher FeWer liicht in den 
ProzeB gelangen kann, und zusatzlich die bereits zwischengespeicherten Daten der 
peripheren Einheit (9) uber eine zweite Bus-Einheit riickliest und derail mogliche 
Transportfehler durch die Kontroll-Logik (6) uberwacht und einen sicheren Zustand der 
Ausgabe (10) fiir den ProzeB einleitet, dadurch gekennzeichnet, daB die 
sicherheitsrelevante periphere Einheit (9) nicht nur die zwischengespeicherte Ausgabe 
(D3) sondem auch eine redundante Eingabe fur die Uberwachungseinheit (4) zur 
Verfiigung stellt, 

2. Schaltungsanordnung nach dem Anspruch 1, dadurch gekennzeichnet, daB im ProzeB 
sicherheitsrelevante dezentrale Einheiten eingebracht werden konnen (Fig. 2), die uber 
redundante Eingabe-Kanale (4,5) verfiigen und so den angeschlossenen ProzeB redundant 
uberwachen und einen Fehler erkennen. 

■. Schaltungsanordnung nach den Anspruchen 1 bis 2, dadurch gekennzeichnet, daB die 
W sicherheitsrelevanten Einheiten (Fig.2) uber einen Zwischenspeicher (7) verfiigen, der von 
einer zweiten Bus-Einheit (3) ruckgelesen wird und so noch vor der Freigabe zum ProzeB 
(uber die Ausgabe (8) mit den Signalen (9) von der Uberwachungseinheit (Fig. 1, 4) 
kontrolUert wird. 

4. Schaltungsanordnung nach den Anspriichen 1 bis 3, dadurch gekennzeichnet, daB die 
angesprochenen peripheren Einheiten auch selbst logische Verknupfiingen durchfxihren 
konnen und so im Gesamtverbund eine hohere ProzeBgeschwindigkeit erreicht wird. 

5. Schaltungsanordnung nach den Anspruchen 1 bis 4, dadurch gekennzeichnet, daB die 
Uberwachungseinheit auch selbst Steuerungsfiinktionen ubemehmen kann und so ein 
Verbund mit einer Sicherheitssteuerung entsteht. 

6. Schaltungsanordnung nach den Anspruchen 1 bis 5, dadurch gekeimzeichnet, daB die 
sicherheitsrelevante dezentrale Einheit mit nicht sicherheitsrelevanten Standard- 
Bausteinen zum Busverkehr auskommt und keinerlei sicherheitsrelevante 
Spezialbausteine benotigt und somit preisgunstig und technologisch abgesichert 
fiinktioniert. 

Schaltungsanordnung nach den Anspruchen 1 bis 6, dadurch gekennzeichnet, daB die 
Funktion bei Standard-Bussystemen betriebsfahig ist und somit ohne zusatzliche 
Installation von weiteren Bussystemen oder speziellen Komponenten auskommt. 

8. Schaltungsanordnung nach den AnsprQchen 1 bis 7, dadurch gekennzeichnet, daB die 
Funktion durch Hinzufugen der Uberwachungseinheit (Fig. 1,4) und durch Austausch von 
normalen dezentralen Einheiten durch sicherheitsrelevante Einheiten (Fig. 1, 9) 
nachtraglich installierbar ist. 

9. Schaltungsanordnung nach den Anspruchen 1 bis 8, dadurch gekennzeichnet, daB die 
Sicherheitsfimktion des Systems auch nachtrSglich durch Hinzufiigen von Hardware- 
Elementen od^ Software-Bausteinen erweiterbar ist. 



